#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник Larva-26002 нацелен на неуправляемые серверы MS-SQL, используя уязвимости в программе массового копирования (BCP) для развертывания различных программ-вымогателей, включая Trigona и Mimic. Их атаки обычно начинаются с попыток брутфорса доступа к этим серверам, за которыми следуют манипуляции с утилитой BCP для распространения вредоносного ПО. Недавно они использовали вредоносное ПО на языке Go под названием ICE Cloud Client, которое действует как загрузчик для получения дополнительных инструментов и сканирования уязвимых серверов MS-SQL, используя жестко закодированные учетные данные.
-----

Злоумышленник Larva-26002 активно атаковал неуправляемые серверы MS-SQL, используя уязвимости, связанные с утилитой программы массового копирования (BCP). Эта группа известна тем, что внедряет различные разновидности программ-вымогателей, включая Trigona и Mimic, и со временем развила свою тактику и инструменты. В 2026 году они, в частности, внедрили написанное на языке Go вредоносное ПО под названием ICE Cloud Client, сканер, предназначенный для облегчения дальнейшей вредоносной деятельности.

Атаки обычно начинаются с брутфорса или попыток использования словаря на общедоступных серверах MS-SQL. Как только доступ получен, злоумышленник использует утилиту BCP— bcp.exe — для манипулирования и распространения вредоносных полезных данных. Этот метод включает хранение вредоносного ПО в определенных таблицах базы данных, из которых оно позже экспортируется для создания локально исполняемых файлов. Структуры команд с 2024 года обеспечивают согласованность, используя определенные ключевые слова в процессе генерации полезной нагрузки.

Функциональность ICE Cloud критически важна для фреймворка атак, функционирующего как загрузчик, который извлекает вредоносное ПО из сканера после взаимодействия с сервером командования и контроля (C&C). Загруженный клиент ICE Cloud использует случайное имя для имитации законных приложений при подготовке к сканированию целевых серверов MS-SQL на наличие уязвимостей. Интересно, что в двоичном файле представлены строки на турецком языке и смайлики, потенциально связанные с генеративным искусственным интеллектом, что указывает на сложный уровень развития. Операции сканирования в основном направлены на попытку аутентификации на серверах MS-SQL с использованием жестко закодированных учетных данных, результаты которых отправляются обратно на сервер C&C.

Стратегии смягчения последствий имеют первостепенное значение для организаций, управляющих базами данных MS-SQL. Предотвращение несанкционированного доступа может быть достигнуто за счет внедрения сложных паролей, регулярной смены паролей и поддержания обновленных решений безопасности. Более того, использование брандмауэров и других мер безопасности имеет решающее значение для баз данных, подключенных к внешним сетям, поскольку пренебрежение этими протоколами может привести к постоянным уязвимостям и продолжающейся эксплуатации злоумышленниками, такими как Larva-26002.

#ParsedReport #CompletenessLow
20-03-2026

CVE-2025-32975: Arctic Wolf Observes Exploitation of Quest KACE Systems Management Appliance

https://arcticwolf.com/resources/blog-uk/cve-2025-32975-arctic-wolf-observes-exploitation-of-quest-kace-systems-management-appliance/

Report completeness: Low

Threats:
Quest_kace_tool
Credential_harvesting_technique
Mimikatz_tool

Victims:
Quest kace systems management appliance users, Customer environments

CVEs:
CVE-2025-32976 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32978 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32977 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32975 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 5
Technics: 0

IOCs:
IP: 1
File: 4
Command: 1

Soft:
curl

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Количество вредоносных действий возросло из-за использования CVE-2025-32975, критической уязвимости для обхода аутентификации в непатентованных экземплярах устройства управления системами Quest KACE. Злоумышленники могут выдавать себя за пользователей для административного захвата, используя такие методы, как удаленное выполнение команд через KPluginRunProcess, полезные нагрузки в кодировке Base64 для обмена данными управления и кражи учетных данных с помощью таких инструментов, как Mimikatz. Закрепление поддерживается путем создания учетной записи администратора, выполнения скрипта PowerShell и внесения изменений в реестр.
-----

Arctic Wolf сообщила о всплеске вредоносных действий, связанных с использованием CVE-2025-32975, критической уязвимости для обхода аутентификации, затрагивающей непатентованные экземпляры устройства управления системами Quest KACE (SMA), которые были общедоступны в Интернете. Эта уязвимость позволяет злоумышленникам выдавать себя за законных пользователей, облегчая полный административный захват. Ошибка была исправлена в мае 2025 года, но многие системы остаются не обновленными.

Первоначальный доступ к этим угрозам, вероятно, был получен путем использования функциональности KPluginRunProcess, позволяющей злоумышленникам выполнять удаленные команды после получения административного доступа. Анализ журналов показал использование полезных данных в кодировке Base64 и файлов, загруженных с определенного IP-адреса (216.126.225.156), устанавливающих канал связи для управления.

Оказавшись внутри системы, злоумышленники продемонстрировали закрепление, создав дополнительные учетные записи администратора с помощью процесса Quest KACE. Затем эти учетные записи были добавлены в административные группы, что усилило их контроль над устройством. Злоумышленники также выполняли скрипты PowerShell с обходом политики выполнения, запуская их в скрытом контексте для манипулирования системными конфигурациями для постоянного доступа. Кроме того, были замечены изменения в реестре, вероятно, направленные на сохранение доступа, даже если первоначальные точки опоры были нарушены.

Credential Harvesting был еще одной тактикой, применяемой злоумышленниками, использующими такие инструменты, как Mimikatz, для получения конфиденциальной информации. Это включало в себя вариант, замаскированный под asd.exe чтобы избежать обнаружения.

Чтобы снизить эти риски, организациям, использующим Quest KACE SMA, крайне важно обновиться до указанных исправленных версий, поскольку все версии, указанные ниже указанных исправлений, уязвимы. Более того, Arctic Wolf подчеркивает важность того, чтобы экземпляры KACE SMA не были доступны в общедоступном Интернете, рекомендуя обеспечить любой необходимый удаленный доступ с помощью VPN или брандмауэра.

#ParsedReport #CompletenessMedium
19-03-2026

VoidStealer: Debugging Chrome to Steal Its Secrets

https://www.gendigital.com/blog/insights/research/voidstealer-abe-bypass

Report completeness: Medium

Threats:
Voidstealer
Chromelevator_tool
Process_injection_technique
Elevationkatz_tool
Cookiekatz_tool
Credentialkatz_tool

IOCs:
File: 5
Path: 1
Hash: 1

Soft:
Chrome, Google Chrome, Chromium

Algorithms:
aes-gcm

Win API:
ReadProcessMemory, CryptUnprotectData, CryptProtectData, CryptProtectMemory, CryptUnprotectMemory, CreateProcessW, DebugActiveProcess, WaitForDebugEvent, NtGetNextThread, SetThreadContext, have more...

Languages:
python

Links:
have more...
https://github.com/chromium/chromium/blob/main/chrome/elevation\_service/elevator.cc#L229-L239
https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption

#ParsedReport #ExtractedSchema

Classified images:
code: 9, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VoidStealer - это продвинутый стиллер для обработки информации, использующий новую технологию обхода шифрования с привязкой к приложению на основе отладки (ABE), которая использует точки останова Аппаратного обеспечения для извлечения ключа v20_master_key из памяти браузеров Chrome и Edge без необходимости повышения привилегий или внедрения кода, что повышает его скрытность. В нем используется двусторонний подход, преимущественно с использованием функции WinAPI ReadProcessMemory с приложением отладчика для скрытого доступа, что сводит к минимуму обнаружение по сравнению с традиционными методами. Работа вредоносного ПО включает в себя запуск браузера в приостановленном состоянии и прослушивание событий отладки для целевых адресов памяти, связанных с криптографическими операциями, для эффективного извлечения конфиденциальных ключей.
-----

VoidStealer знаменует собой значительную эволюцию в области стиллеров информации, будучи первым, кто, как было замечено в дикой природе, использует новую технологию обхода шифрования с привязкой к приложению на основе отладчика (ABE). Этот метод использует точки останова Аппаратного обеспечения для прямого извлечения ключа v20_master_key из памяти веб-браузеров, специально предназначенных для Chrome и Edge. Реализация этого метода не требует повышения привилегий или внедрения кода, что повышает его скрытность и позволяет злоумышленникам уклоняться от обнаружения более эффективно, чем традиционные методы.

Появление этого метода последовало за внедрением Google ABE в Chrome 127 в июле 2024 года, направленным на защиту конфиденциальных данных браузера. В то время как ABE поднял планку защиты данных, это также стимулировало разработку методов обхода среди злоумышленников. Авторы VoidStealer's широко использовали информацию из проекта ElevationKatz, что указывает на то, что существующие решения могут быть дополнительно адаптированы для вредоносных целей.

VoidStealer использует два метода обхода ABE. Традиционный метод включает в себя ввод кода в процесс браузера и использование функции IElevator::DecryptData через COM-интерфейс. Однако этот устоявшийся метод, скорее всего, будет генерировать предупреждения от средств безопасности из-за его шумовой природы. Напротив, более новый метод, который преимущественно использует вредоносное ПО, предполагает использование функции WinAPI ReadProcessMemory вместе с приложением отладчика для скрытого доступа к ключу v20_master_key без необходимости прямого внедрения, тем самым сводя к минимуму риски обнаружения.

Процесс обхода начинается с того, что VoidStealer запускает браузер в приостановленном состоянии с помощью CreateProcessW перед подключением в качестве отладчика, тактика, рассматриваемая как дополнительное подозрительное поведение. После успешного подключения отладчика вредоносное ПО прослушивает важные события отладки. Он нацелен на определенные адреса памяти в библиотеках DLL браузера, которые относятся к криптографическим операциям, в частности, ищет строку OSCrypt.AppBoundProvider.Decrypt.resultCode, который тесно связан с точкой доступа v20_master_key в памяти. Установив точки останова Аппаратного обеспечения на этом этапе, что можно сделать без изменения кода браузера, злоумышленник может относительно легко извлечь ключ.

С точки зрения стратегий обнаружения, для защитников крайне важно отслеживать наличие аномалий, таких как подключение отладчика к процессу браузера или открытие браузера в скрытом состоянии. Методы, используемые VoidStealer, также предполагают, что будущие версии вредоносного ПО могут реализовать аналогичную тактику обхода с дальнейшими усовершенствованиями. По мере развития системы обходов ABE требуется повышенная бдительность для защиты от этих более скрытных угроз, которые используют постоянно появляющиеся слабые места в протоколах безопасности браузеров.

#ParsedReport #CompletenessHigh
19-03-2026

Hasta la vista, Hastalamuerte: An Overview of The Gentlemen's TTPs

https://www.group-ib.com/blog/hastalamuerte-gentlemen-raas-ttps/

Report completeness: High

Actors/Campaigns:
Gentlemen_ransomware (motivation: cyber_criminal, financially_motivated, information_theft)
Hastalamuerte (motivation: cyber_criminal, financially_motivated, information_theft)
Dragonforce
Warlock

Threats:
Procmon_tool
Mstsc_tool
Chisel_tool
Proxychains_tool
Winrm_tool
Petitpotam_vuln
Donpapi_tool
Byovd_technique
Antsword
Meshcentral_tool
Anydesk_tool
Rclone_tool
Medusa_ransomware
Qilin_ransomware
Clop
Akira_ransomware
Gentlemen_ransomware
Babuk
Lockbit
Devman
Aitm_technique
Nightspire
Badsuccessor_technique
Burntcigar
Credential_dumping_technique
Impacket_tool
Netexec_tool
Wevtutil_tool
Shadow_copies_delete_technique
Edr-freeze_tool
Conti
Adaptixc2_tool
Spear-phishing_technique

Victims:
Healthcare, Critical infrastructure, Worldwide

Industry:
Critical_infrastructure, Healthcare

Geo:
Russian

CVEs:
CVE-2025-32463 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sudo_project sudo (<1.9.17)

CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)

CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam_backup_\&_replication (<11.0.1.1261, 12.0.0.1420)

CVE-2024-37085 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware cloud_foundation (<5.2)
- vmware esxi (7.0, 8.0)


TTPs:
Tactics: 11
Technics: 25

IOCs:
File: 48
Command: 12
Path: 4
Registry: 4
IP: 1
Hash: 7

Soft:
Windows PowerShell, Windows Firewall, Windows Defender, Task Scheduler, MySQL, MSSQL, postgresql, MariaDB, MSExchange, docker, have more...

Algorithms:
sha256, md5

Functions:
Write-Warning, Write-Host, Write-Error, Get-ADComputer

Win API:
EnableTrace

Win Services:
AcrSch2Svc, VSNAPVSS, MVarmor64, MVarmor, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, AcronisAgent, QBIDPService, QBDBMgrN, have more...

Languages:
python, powershell, rust

Links:
https://github.com/emdnaia/CVE-2025-32463
https://gist.github.com/snovvcrash/a1ae180ab3b49acb43da8fd34e7e93df
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The Gentlemen - это группа программ-вымогателей как услуга (RaaS), использующая критическую уязвимость в продуктах Fortinet (CVE-2024-55591) для компрометации примерно 1000 виртуальных сетей Fortinet. Используя скрипты PowerShell и Python для извлечения учетных данных, они реализуют различные тактики закрепления, перемещения внутри компании и эксфильтрации данных, включая методы двойного вымогательства. Их операции демонстрируют передовые методы, такие как отключение безопасности конечных точек на уровне ядра и использование Искусственного интеллекта для повышения изощренности их атак.
-----

The Gentlemen - это операция "Программа-вымогатель как услуга" (RaaS), характеризующаяся особой тактикой, методами и процедурами (TTP), особенно заметными при их ранних вторжениях, атрибутированных с критической уязвимостью в продуктах Fortinet (CVE-2024-55591). Эта группа в первую очередь использует общедоступные брандмауэры FortiGate для инициирования атак, поддерживая значительный запас устройств компрометации. Их бэкдорные эксплойты предоставляют методы кражи учетных данных, позволяющие проводить атаки методом перебора, которые, как сообщается, привели к компрометации около 1000 виртуальных сетей Fortinet.

Выполнение их программ-вымогателей включает в себя использование скриптов PowerShell и Python для облегчения извлечения учетных данных и развертывания вредоносного ПО. Они используют такие методы, как создание запланированных задач для закрепления, использование методологии "Принеси свой собственный уязвимый драйвер" (BYOVD) для отключения решений безопасности конечных точек на уровне ядра и очистка журналов событий Windows для удаления следов их активности.

The Gentlemen также демонстрируют значительное внимание к перемещению внутри компании. Они используют SMB и административные общие ресурсы для развертывания вредоносного ПО в нескольких системах, часто отключая средства безопасности, включая Защитника Windows, с помощью административных команд и Изменений групповой политики. Примечательный аспект их деятельности включает методы эксфильтрации данных через RClone, которые они настраивают для использования SFTP, а также использование пользовательских инструментов для различных целей извлечения учетных данных.

Соответствующая оперативная информация включает в себя их подход к двойному вымогательству, при котором они не только шифруют данные, но и угрожают обнародовать украденную информацию, если выкуп не будет выплачен. Этот метод усиливает давление на жертв, представляя собой двоякую угрозу, которая усложняет усилия по восстановлению.

Тактика обхода защиты включает имитацию законных процессов и редактирование конфигураций реестра, чтобы гарантировать, что их вредоносная деятельность останется незамеченной. Кроме того, зависимость группы от Искусственного интеллекта и инструментов программирования отражает более широкую тенденцию среди киберпреступников, стремящихся повысить изощренность своих атак при одновременном снижении обнаруживаемости.

Текущие разработки The Gentlemen's включают в себя реверс-инжиниринг существующих образцов программ-вымогателей для улучшения их собственных возможностей, демонстрируя адаптивный ландшафт угроз, в котором среди преступных организаций распространен обмен знаниями. Чтобы снизить риски, связанные с такими угрозами, организациям рекомендуется уделять приоритетное внимание исправлению уязвимостей, внедрять надежные механизмы аутентификации и сегментировать сети, чтобы ограничить возможности перемещения внутри компании для злоумышленников. В целом, The Gentlemen являются примером постоянной эволюции тактики программ-вымогателей, обусловленной как технологическими возможностями, так и стратегическим использованием слабых мест в протоколах корпоративной безопасности.

#ParsedReport #CompletenessMedium
20-03-2026

GhostClaw expands beyond npm: GitHub repositories and AI workflows deliver macOS infostealer

https://www.jamf.com/blog/ghostclaw-ghostloader-malware-github-repositories-ai-workflows/

Report completeness: Medium

Actors/Campaigns:
Ghostclaw
Polinrider

Threats:
Credential_stealing_technique
Ghostloader
Glassworm

Victims:
Software development, Ai development workflows, Macos users, Cryptocurrency users

Industry:
Entertainment

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.002, T1059.004, T1059.007, T1070.004, T1071.001, T1082, T1105, T1195.001, have more...

IOCs:
Domain: 1
File: 6
Hash: 16

Soft:
macOS, curl, OpenClaw, Node.js

Algorithms:
sha256

Languages:
applescript, rust, javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания GhostClaw нацелена на системы macOS, используя репозитории GitHub для распространения вредоносного ПО, credential-stealing, часто Маскировки под законный код. Вредоносное ПО специально использует файлы README и сценарии оболочки, которые побуждают пользователей выполнять команды в обход менеджеров пакетов. После установки он может имитировать запросы аутентификации macOS для сбора конфиденциальных учетных данных и получения полного доступа к диску, впоследствии подключаясь к серверу управления для дальнейшей доставки полезной нагрузки, что отражает сложный подход к распространению и выполнению вредоносного ПО.
-----

Вредоносная кампания GhostClaw использует репозитории GitHub и рабочие процессы разработки с помощью искусственного интеллекта для распространения вредоносного ПО credential-stealing в системах macOS. Кампания включает в себя промежуточный этап, когда изначально безобидный на вид код используется для укрепления доверия пользователей, прежде чем внедрять вредоносные компоненты. Вредоносные репозитории GitHub обычно содержат файл README, инструктирующий пользователей устанавливать вредоносное ПО с помощью команд curl, запускающих удаленные скрипты. Вариант нацелен на автоматизированные среды кодирования, интегрирующие вредоносный контент в доброкачественный SKILL.md файлы.

Сценарий установки, install.sh , выполняет законные задачи настройки при подготовке к выполнению запутанных полезных нагрузок JavaScript. Основная функциональность заключается в setup.js , предназначенный для имитации запросов на аутентификацию в macOS и получения конфиденциальных учетных данных пользователя. Вредоносное ПО может генерировать собственные диалоговые окна с помощью AppleScript, вводя пользователей в заблуждение и заставляя их предоставлять информацию.

В дополнение к захвату учетных данных вредоносное ПО стремится получить полный доступ к диску с помощью AppleScript, чтобы изменить настройки безопасности, обеспечивая более широкий доступ к данным. После сбора учетных данных он подключается к серверу управления для извлечения дополнительного вредоносного ПО, обеспечивая закрепление за счет Маскировки под доброкачественные пакеты npm. Инфраструктура кампании демонстрирует согласованную схему и уникальные идентификаторы для связи C2, подчеркивая тенденцию использования уязвимостей supply chain с помощью надежных платформ для распространения вредоносного ПО.

#ParsedReport #CompletenessLow
19-03-2026

Dark Web Profile: DieNet

https://socradar.io/blog/dark-web-profile-dienet/

Report completeness: Low

Actors/Campaigns:
Dienet (motivation: propaganda, hacktivism)
Keymous (motivation: hacktivism)
Noname057 (motivation: hacktivism)
Sylhetgang
Team_azrael
Denbots_proof
Overflame
Cyb3r_drag0nz
Rippersec
Serverkillers
Z-pentest_alliance
Ruskinet

Threats:
Chrysaor
Dns_amplification_technique
Synflood_technique
Locknet

Victims:
Government, Critical infrastructure, Finance, Telecommunications, Transportation, Energy, Healthcare, Digital platforms, Industrial control systems

Industry:
Entertainment, Healthcare, Education, Government, Critical_infrastructure, Ics, Military, Energy, Telco, Aerospace, Iot, Transport, Financial, Ngo

Geo:
United kingdom, India, Azerbaijan, Saudi arabia, Egyptian, Israel, Columbia, United arab emirates, Oman, Bahrain, Asia, American, Arab emirates, Kuwait, Qatar, Iran, Turkey, Poland, Cyprus, Abu dhabi, Israeli, Indian, Middle east, Asian, Iranian, Jordan, African, Los angeles, Riyadh

TTPs:
Tactics: 5
Technics: 13

Soft:
Telegram, TikTok

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DieNet, формирующаяся преступная хакерская группировка, созданная в марте 2025 года, осуществила более 60 DDoS-атак, в основном нацеленных на критически важную инфраструктуру и правительственные службы в США и Израиле. Используя такие методы, как TCP RST floods, DNS amplification и TCP SYN floods, DieNet работает по децентрализованной франчайзинговой модели, обеспечивая эффективные атаки, несмотря на запреты платформы. Сосредоточив внимание на DDoS-атаках, группа также выразила намерения участвовать в более широких кибероперациях, что указывает на потенциальную эскалацию их деятельности.
-----

DieNet стал значительным игроком в киберпространстве, особенно в контексте обострения напряженности между Ираном и Израилем. Основанная в марте 2025 года, группа быстро приобрела дурную славу, осуществив более 60 DDoS-атак в течение первых месяцев своей деятельности. К началу 2026 года она заявила о ошеломляющих 59 атаках всего за два дня, значительно опередив другие проиранские группировки и продемонстрировав эффективную коммерциализацию DDoS-атак как услуги, что позволяет идеологически ориентированным акторам с относительной легкостью запускать крупномасштабные киберкампании.

Основным методом, используемым DieNet, является Сетевой отказ в обслуживании (T1498), хотя он выдвигал многочисленные непроверенные заявления относительно дефейсов, вторжений и Манипуляций с данными. Организационная структура DieNet напоминает франшизу, состоящую из внутреннего круга, который управляет стратегическим направлением, и более широкой сети операторов, которые осуществляют атаки под флагом DieNet. Эта децентрализованная модель позволяет ему оставаться устойчивым к мерам модерации платформы, о чем свидетельствуют его усилия по ребрендингу после запрета в Телеграм.

Основной таргетинг DieNet's сосредоточен на критически важной инфраструктуре и государственных службах, особенно в США и Израиле. Его заметная ранняя кампания в марте 2025 года включала 61 атаку в различных секторах, включая транспорт, энергетику, финансы и здравоохранение. С тех пор группировка предприняла атаки, специально оформленные как возмездие за предполагаемые военные действия, связанные с военными действиями США, нацеленные на инфраструктуру в Персидском заливе и на более широком Ближнем Востоке во время эскалации конфликтов в начале 2026 года.

Возможности группы по DDoS-атакам характеризуются эффективным использованием арендованных ресурсов, включая TCP RST flood, DNS amplification и TCP SYN floods, что позволяет ей эффективно обходить средства защиты. Несмотря на то, что DieNet в первую очередь занимается DDoS-атаками, она заявила о причастности к программам-вымогателям и имеет амбиции в отношении более широких киберопераций, что свидетельствует о высоком уровне вовлеченности и потенциальной эскалации ее деятельности.

DieNet работает в рамках более крупной сети согласованных групп хактивистов, используя общие ресурсы и координируя атаки через такие каналы, как Телеграм. Формирование единого центра электронных операций, в который входят различные проиранские группировки, повысило оперативную значимость DieNet, позволив ему функционировать в качестве ключевого механизма DDoS-атак в периоды военных конфликтов.

#ParsedReport #CompletenessLow
20-03-2026

ClayRat: What was that?

https://rt-solar.ru/solar-4rays/blog/6472/

Report completeness: Low

Threats:
Clayrat
Gorilla
Dcrat

Victims:
Android users, Financial services, Microfinance, E commerce, Telecommunications

Industry:
E-commerce, Financial

ChatGPT TTPs:
do not use without manual check
T1406, T1412, T1476, T1587.001

IOCs:
File: 9
Url: 4
Domain: 31
Hash: 2

Soft:
Telegram, VKontakte, Android, apktool

Algorithms:
sha1, sha256, md5

Links:
https://github.com/messede-degod/Gembe
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4